Auditing EDP
Oleh :
Fakultas Ekonomi
Universitas Jember
Tahun 2018
PENDAHULUAN
Perkembangan zaman semakin hari semakin pesat, hal ini berpengaruh juga
dengan dunia ekonomi. Karena semakin maju keadaan ekonomi sutu Negara
menandakan bahwa Negara itu semakin berkembang. Oleh sebab itu berpengaruh
pula di dalam dunia akuntansi khususnya Auditing karena Dalam Standar Profesional
Akuntan Publik (SPAP) juga ditekankan perlunya pemahaman auditor dalam
pemeriksaan sebuah sistem akuntansi berbasis komputer. Sehingga dunia audit
sekarang mempunyai teknik Audit yang berbantuan Komputer ( TABK ) atau Computer
Assisted Audit Technique Tools (CAATT) yaitu setiap penggunaan teknologi informasi
sebagai alat bantu dalam kegiatan audit. Penggunaan TABK atau CAATTs akan
meningkatkan efisiensi dan efektivitas auditor dalam melaksanakan audit dengan
memanfaatkan segala kemampuan yang dimiliki oleh komputer.
Ada beberapa pendekatan yang dapat dipilih oleh seorang auditor apabila
menggunakan teknik audit berbantuan komputer. Pendekatan audit dengan bantuan
komputer merupakan cara audit yang sangat bermanfaat untuk pengujian subtantif
atau file/ data/ record perusahaan. Teknik audit berbantuan komputer melibatkan
komputer atau software audit untuk membantu pengujian serta evaluasi file / data
perusahaan relatif lebih mudah dibandingkan dengan pengujian terhadap program
maupun prosedur pengolahan data. Pelaksanaan Pemeriksaan program atau sistem
memerlukan keahlian tertentu auditor dalam bidang teknologi informasi. Hal ini yang
perlu diingat ialah bahwa pengguna software audit perlu pertimbangan antara biaya
dan manfaat.
Penjelasan singkat ini menunjukkan bahwa betapa pentingnya Computer-
Assited Audit Tools and Techniques (CAAT) atau audit berbasis computer yang
berguna untuk mengkombinasikan pemahaman mengenai pentingnya keahlian audit
dengan pengetahuan sistem informasi berbasis komputer akan menghasilkan
peningkatan yang sangat signifikan dalam proses audit sistem informasi. TABK/CAAT
merupakan perangkat dan teknik yang digunakan untuk menguji (baik secara langsung
maupun tidak langsung) logika internal dari suatu aplikasi komputer yang digunakan
untuk mengolah data.
PEMBAHASAN
A. KONTROL APLIKASI
Kontrol aplikasi adalah prosedur yang diprogram yang dirancang untuk
menghadapi potensi ekspo yang mengancam aplikasi tertentu, seperti sistem
pembayaran gaji, pembelian, dan pengeluaran uang tunai. Kontrol aplikasi dibagi
menjadi tiga kategori besar: kontrol input, kontrol pemrosesan, dan kontrol output.
1. Kontrol Masukan
Komponen pengumpulan data dari sistem informasi bertanggung jawab untuk
membawa data ke dalam sistem untuk diproses. Kontrol input pada tahap ini
dirancang untuk memastikan bahwa transaksi ini valid, akurat, dan lengkap.
Prosedur input data dapat berupa source-triggered (batch) atau input langsung
(real time).
Masukan dokumen sumber membutuhkan keterlibatan manusia dan rentan
terhadap kesalahan administrasi. Beberapa jenis kesalahan yang dimasukkan
pada dokumen sumber tidak dapat dideteksi dan diperbaiki selama tahap input
data. Berurusan dengan masalah ini mungkin memerlukan pelacakan transaksi
kembali ke sumbernya (seperti menghubungi pelanggan) untuk memperbaiki
kesalahan pengambilan. Masukan langsung, di sisi lain, menggunakan teknik
pengeditan real-time untuk mengidentifikasi dan memperbaiki kesalahan dengan
segera, sehingga secara signifikan mengurangi jumlah kesalahan yang masuk ke
sistem.
Kelas-kelas kontrol ini bukanlah divisi yang saling terpisah. Beberapa teknik
kontrol yang akan kita kaji dapat masuk secara logis ke dalam lebih dari satu kelas.
Periksa Digit.
5 + 3 + 7 + 2 = 17
1. Tetapkan bobot
Setiap digit dalam kode dikalikan dengan berat yang berbeda. Dalam hal ini,
bobot yang digunakan adalah 5, 4, 3, dan 2, ditampilkan sebagai berikut:
Digit Berat
5 x 5 = 25
3 x 4 = 12
7 x 3 = 21
2x2=4
2. Jumlahkan produk (25 + 12 + 21 + 4 = 62).
3. Bagilah dengan modulus. Kami menggunakan modulus 11 dalam kasus ini,
memberikan 62111 = 5 dengan sisa 7.
4. Kurangkan sisa dari modulus untuk mendapatkan digit cek (11 - 7 = 4 [periksa
digit]).
5. Tambahkan digit cek ke kode asli untuk menghasilkan kode baru: 53724.
Dengan menggunakan teknik ini untuk menghitung ulang angka cek selama
pemrosesan, kesalahan transposisi dalam kode akan menghasilkan digit cek
selain 4. Sebagai contoh, jika kode sebelumnya dimasukkan secara salah sebagai
35724, digit cek yang dihitung ulang akan menjadi 6.
Kontrol Batch
Kontrol batch adalah metode yang efektif untuk mengelola volume tinggi data
transaksi melalui suatu sistem. Tujuan pengendalian batch adalah untuk
mendamaikan output yang dihasilkan oleh sistem dengan input yang awalnya
dimasukkan ke dalam sistem. Ini memberikan jaminan bahwa:
Kontrol batch tidak secara eksklusif merupakan teknik kontrol input. Mengontrol
bets terus berlanjut melalui semua fase sistem. Kami memperlakukan topik ini di
sini karena kontrol batch dimulai pada tahap input.
Kode grup entri data dan memasukkan data lembar transmittal ke dalam
transaksi file, bersama dengan batch catatan transaksi. Data pengiriman dapat
ditambahkan sebagai catatan tambahan dalam file atau ditempatkan di label trailer
internal file. Lembar transmittal menjadi catatan kontrol batch dan digunakan untuk
menilai integritas batch selama pemrosesan. Misalnya, prosedur entri data akan
menghitung ulang total kontrol batch untuk memastikan batch dalam
keseimbangan. Catatan transmital menunjukkan batch 50 catatan pesanan
penjualan dengan total nilai dolar $ 122,674.87 dan total hash sebesar 4537838.
Pada berbagai titik di sepanjang dan pada akhir pemrosesan, jumlah ini dihitung
ulang dan dibandingkan dengan kabel kontrol batch re. Jika prosedur menghitung
ulang jumlah yang sama, jumlah yang seimbang.
Setelah diproses, hasil output dikirim ke petugas kontrol data untuk rekonsiliasi
dan distribusi kepada pengguna. Petugas memperbarui log kontrol batch untuk
mencatat bahwa proses batch telah berhasil diselesaikan.
Hash Total
Istilah hash total, yang digunakan dalam diskusi sebelumnya, mengacu pada
teknik kontrol sederhana yang menggunakan data non finansial untuk melacak
rekaman dalam batch. Bidang kunci apa pun, seperti nomor akun pelanggan,
nomor pesanan pembelian, atau nomor item inventaris, dapat digunakan untuk
menghitung total hash. Dalam contoh berikut, bidang nomor pesanan (SO #) untuk
seluruh batch catatan pesanan penjualan dijumlahkan untuk menghasilkan total
hash.
Asumsikan bahwa setelah kumpulan catatan ini meninggalkan kontrol data,
seseorang mengganti salah satu pesanan penjualan dalam batch dengan catatan
fiktif dari jumlah dolar yang sama. Bagaimana prosedur pengendalian batch
mendeteksi ketidakteraturan ini? Baik jumlah catatan dan jumlah total kontrol dolar
tidak akan terpengaruh oleh tindakan ini. Namun, kecuali pelaku memperoleh
dokumen sumber dengan nomor pesanan penjualan yang sama persis (yang tidak
mungkin, karena mereka harus secara unik diberi nomor dari printer), total hash
yang dihitung oleh proksi kontrol batch tidak akan seimbang. Dengan demikian,
ketidakteraturan akan terdeteksi.
Kontrol Validasi
1. Interogasi lapangan
2. Rekam interogasi
3. Interogasi file
Interogasi Lapangan
Interogasi lapangan melibatkan prosedur yang diprogram yang menguji
karakteristik data di lapangan. Berikut ini adalah beberapa jenis interogasi
lapangan yang umum.
Pengecekan data yang tidak ada digunakan untuk memeriksa isi dari suatu
bidang untuk keberadaan ruang kosong. Beberapa bahasa pemrograman bersifat
membatasi untuk pembenaran (kanan atau kiri) data dalam bidang tersebut. Jika
data tidak dibenarkan dengan benar atau jika karakter hilang (telah diganti dengan
kosong), nilai dalam bidang akan diproses secara tidak benar. Dalam beberapa
kasus, kehadiran kosong dalam bidang data numerik dapat menyebabkan
kegagalan sistem. Ketika program validasi mendeteksi kosong di mana ia
mengharapkan untuk melihat nilai data, ini akan ditafsirkan sebagai kesalahan.
Rentang pemeriksaan menetapkan batas atas dan bawah ke nilai data yang
dapat diterima. Misalnya, jika kisaran tingkat pembayaran untuk karyawan per jam
dalam perusahaan adalah antara 8 dan 20 dolar, semua catatan penggajian dapat
diperiksa untuk melihat bahwa rentang ini tidak terlampaui. Tujuan dari kontrol ini
adalah untuk mendeteksi kesalahan keystroke yang menggeser titik desimal satu
atau lebih banyak tempat. Itu tidak akan mendeteksi kesalahan di mana tingkat
pembayaran yang benar, katakanlah, 9 dolar salah dimasukkan sebagai 15 dolar.
Pemeriksaan validitas membandingkan nilai aktual dalam bidang terhadap nilai
yang dapat diterima yang diketahui. Kontrol ini digunakan untuk memverifikasi hal-
hal seperti kode transaksi, singkatan negara, atau kode keterampilan kerja
karyawan. Jika nilai di lapangan tidak sesuai dengan salah satu nilai yang dapat
diterima, catatan tersebut dianggap salah.
Ini adalah kontrol yang sering digunakan dalam sistem pencairan tunai. Salah
satu bentuk penipuan pencairan uang tunai melibatkan memanipulasi sistem untuk
membuat pembayaran palsu ke vendor yang tidak ada. Untuk mencegah hal ini,
perusahaan dapat membuat daftar vendor yang valid dengan siapa ia melakukan
bisnis secara eksklusif. Dengan demikian, sebelum pembayaran kewajiban
perdagangan, nomor vendor pada voucher pencairan tunai dicocokkan dengan
daftar dor yang valid oleh program validasi. Jika kode tidak cocok, pembayaran
ditolak, dan manajemen meninjau transaksi.
Rekam Interogasi
Pemeriksaan masuk akal menentukan apakah suatu nilai dalam satu bidang,
yang telah melewati pemeriksaan batas dan pemeriksaan rentang, masuk akal bila
dipertimbangkan bersama dengan bidang data lain dalam catatan. Misalnya,
tingkat gaji karyawan sebesar 18 dolar per jam berada dalam kisaran yang dapat
diterima. Namun, tingkat ini berlebihan jika dibandingkan dengan kode
keterampilan kerja karyawan sebesar 693; karyawan di kelas keterampilan ini tidak
pernah menghasilkan lebih dari 12 dolar per jam.
Tanda cek adalah tes untuk melihat apakah tanda bidang sudah benar untuk
jenis rekaman yang sedang diproses. Misalnya, dalam sistem pemrosesan
pesanan penjualan, bidang jumlah dolar harus positif untuk pesanan penjualan
tetapi negatif untuk transaksi penjualan kembali. Kontrol ini dapat menentukan
kebenaran tanda dengan membandingkannya dengan bidang kode transaksi.
Pemeriksaan urutan digunakan untuk menentukan apakah suatu catatan tidak
sesuai pesanan. Dalam sistem batch yang menggunakan file master sekuensial,
file transaksi yang sedang diproses harus diurutkan dalam urutan yang sama
dengan kunci primer dari file master yang sesuai. Persyaratan ini sangat penting
untuk logika pemrosesan program pembaruan. Oleh karena itu, sebelum setiap
catatan transaksi diproses, urutannya diverifikasi relatif terhadap catatan
sebelumnya yang diproses.
Interogasi File
Tujuan dari interogasi file adalah untuk memastikan bahwa file yang benar
sedang diproses oleh sistem. Kontrol ini sangat penting untuk file induk, yang
berisi catatan permanen dari perusahaan dan yang, jika hancur atau rusak, sulit
untuk diganti.
Pemeriksaan label internal memverifikasi bahwa file yang diproses adalah yang
sebenarnya diminta oleh program. File yang disimpan pada pita magnetik
biasanya disimpan secara off-line di perpustakaan tape. File-file ini memiliki label
eksternal yang mengidentifikasi mereka (berdasarkan nama dan nomor seri) ke
tape li brarian dan operator. Pelabelan eksternal biasanya merupakan prosedur
manual dan, seperti halnya tugas manual, rentan terhadap kesalahan. Kadang-
kadang, label eksternal yang salah secara salah ditempelkan ke file ketika dibuat.
Jadi, ketika file dipanggil lagi, file yang salah akan diambil dan ditempatkan pada
tape drive untuk diproses. Tergantung pada bagaimana file tersebut digunakan, ini
dapat mengakibatkan kehancuran atau korupsi. Untuk mencegah hal ini, sistem
operasi membuat label header internal yang ditempatkan di awal file. Untuk
memastikan bahwa file yang benar akan diproses, sistem akan cocok dengan
nama file dan nomor seri di label header dengan persyaratan file program. Jika file
yang salah telah dimuat, sistem akan mengirim operator pesan dan
menangguhkan pemrosesan. Perlu dicatat bahwa meskipun pemeriksaan label
umumnya merupakan fitur standar, ini adalah opsi yang dapat ditimpa oleh
programmer dan operator.
Untuk melindungi dari menghancurkan file yang aktif secara tidak sengaja,
sistem akan memeriksa terlebih dahulu tanggal kedaluwarsa tercantum dalam
label header. Jika periode retensi belum kedaluwarsa, sistem akan menghasilkan
pesan kesalahan dan membatalkan prosedur gores. Kontrol tanggal kedaluwarsa
adalah ukuran opsional. Panjang periode retensi ditentukan oleh programmer dan
berdasarkan jumlah file cadangan yang diinginkan. Jika programmer memilih
untuk tidak menentukan tanggal kedaluwarsa, kontrol terhadap penghapusan tidak
disengaja dihapuskan.
Ketika kesalahan terdeteksi dalam batch, mereka harus dikoreksi dan catatan
dikirim kembali untuk diproses ulang. Ini harus menjadi proses yang terkontrol
untuk memastikan bahwa kesalahan ditangani sepenuhnya dan benar. Ada tiga
teknik penanganan kesalahan umum: (1) benar segera, (2) membuat file
kesalahan, dan (3) menolak seluruh batch.
Segera Koreksi
Ketika validasi tertunda sedang digunakan, seperti dalam sistem batch dengan
file sekuensial, kesalahan individu harus ditandai untuk mencegah mereka dari
proCessed. Pada akhir prosedur validasi, catatan ditandai sebagai kesalahan
dihapus dari batch dan ditempatkan dalam file memegang kesalahan sementara
sampai kesalahan dapat diselidiki.
Pada setiap titik validasi, sistem secara otomatis menyesuaikan total kontrol
batch untuk mencerminkan penghapusan catatan kesalahan dari batch. Dalam
prosedur terpisah, perwakilan pengguna yang berwenang akan melakukan koreksi
terhadap catatan kesalahan dan mengirimkannya kembali sebagai batch terpisah
untuk diproses ulang.
Tolak Batch
Beberapa bentuk kesalahan terkait dengan seluruh kelompok dan tidak secara
jelas disebabkan oleh catatan individu. Contoh dari jenis kesalahan ini adalah
keseimbangan dalam total kontrol batch. Asumsikan bahwa lembar pengiriman
untuk batch pesanan penjualan menunjukkan nilai penjualan total $ 122.674,87,
tetapi prosedur input data menghitung total penjualan hanya $ 121.454,32. Apa
yang menyebabkan ini? Apakah masalah itu adalah catatan yang hilang atau
berubah? Atau apakah petugas kontrol data salah menghitung total kontrol batch?
Solusi yang paling efektif dalam hal ini adalah menghentikan pemrosesan dan
mengembalikan seluruh batch ke kontrol data untuk mengevaluasi, mengoreksi,
dan mengirim ulang.
Batch kesalahan adalah salah satu alasan untuk menjaga ukuran batch ke
nomor yang dapat dikelola. Terlalu sedikit catatan dalam batch membuat
pemrosesan batch tidak efisien. Terlalu banyak record membuat deteksi kesalahan
menjadi sulit, menciptakan gangguan bisnis yang lebih besar ketika batch ditolak,
dan meningkatkan kemungkinan kesalahan saat menghitung total kontrol batch.
Untuk mencapai tingkat kontrol yang tinggi dan stan dardization atas prosedur
validasi input, beberapa organisasi menggunakan sistem input data umum (GDIS).
Teknik ini termasuk prosedur terpusat untuk mengelola input data untuk semua
sistem pemrosesan transaksi organisasi. Pendekatan GDIS pro memiliki tiga
keuntungan. Pertama, meningkatkan kontrol dengan memiliki satu sistem umum
melakukan semua validasi data. Kedua, GDIS memastikan bahwa setiap aplikasi
AIS menerapkan standar konsisten untuk validasi data. Ketiga, GDIS
meningkatkan efisiensi pengembangan sistem. Mengingat tingginya tingkat
kesamaan dalam persyaratan validasi input untuk aplikasi AIS, GDIS
menghilangkan kebutuhan untuk membuat ulang rutinitas berlebihan untuk setiap
aplikasi baru. GDIS memiliki lima komponen utama yaitu:
2. Memproses Kontrol
a) Kontrol Run-to-Run
Setelah setiap operasi besar dalam proses dan setelah setiap run, bidang
jumlah dolar, total hash, dan jumlah catatan diakumulasikan dan dikompensasi
dengan nilai-nilai terkait yang disimpan dalam catatan kontrol. Jika catatan dalam
kelompok hilang, tidak diproses, atau diproses lebih dari satu kali, ini akan
diungkapkan oleh kecacatan di antara angka-angka ini.
Kode Transaksi
Kode transaksi setiap record dalam batch dibandingkan dengan kode transaksi
yang terkandung dalam catatan kontrol. Ini memastikan bahwa hanya jenis
transaksi yang benar sedang diproses.
Cek Berurutan
Pada akhir dari proses penerimaan piutang, angka kontrol batch dihitung ulang
dan direkonsiliasi dengan total kontrol yang dilewatkan dari input data yang
dijalankan. Angka-angka ini kemudian diteruskan ke pembaruan inventaris
berjalan, di mana mereka kembali dihitung ulang, direkonsiliasi, dan diteruskan ke
output run. Kesalahan yang terdeteksi di setiap run ditandai dan ditempatkan
dalam file kesalahan. Angka-angka kontrol run-to-run (batch) kemudian
disesuaikan untuk mencerminkan penghapusan catatan-catatan ini.
Pelestarian jejak audit adalah tujuan penting dari pengendalian proses. Dalam
sistem akuntansi, setiap transaksi harus dapat dilacak melalui setiap tahap
pemrosesan dari sumber ekonomi hingga penyajiannya dalam laporan keuangan.
Dalam lingkungan yang otomatis, jejak audit dapat menjadi terfragmentasi dan
sulit untuk diikuti. Dengan demikian menjadi penting bahwa setiap operasi besar
yang diterapkan pada transaksi harus didokumentasikan secara menyeluruh.
Berikut ini adalah contoh teknik yang digunakan untuk mempertahankan jejak
audit dalam sistem akuntansi berbasis komputer.
Log Transaksi
Setiap transaksi yang berhasil diproses oleh sistem harus dicatat pada log
transaksi, yang berfungsi sebagai jurnal. Ada dua alasan untuk membuat log
transaksi. Pertama, log transaksi adalah catatan transaksi permanen. File
transaksi yang divalidasi yang dihasilkan pada fase input data biasanya adalah file
sementara. Setelah diproses, catatan pada file ini dihapus (tergores) untuk
memberi ruang bagi batch transaksi berikutnya. Kedua, tidak semua catatan
dalam file transaksi yang divalidasi dapat berhasil diproses. Beberapa catatan ini
mungkin gagal tes dalam tahap pemrosesan berikutnya. Log transaksi harus
hanya mengandung transaksi yang berhasil - transaksi yang telah mengubah
saldo akun. Kegagalan transaksi yang tidak berhasil harus ditempatkan dalam file
kesalahan. Log transaksi dan file kesalahan digabungkan harus memperhitungkan
semua transaksi dalam batch. File transaksi yang divalidasi kemudian dapat
tergores tanpa kehilangan data. Sistem harus menghasilkan daftar transaksi hard
copy dari semua transaksi yang sukses. Daftar ini harus diberikan kepada
pengguna yang sesuai untuk memfasilitasi rekonsiliasi dengan masukan.
Transaksi Unik
Setiap transaksi yang diproses oleh sistem harus diidentifikasi secara unik
dengan nomor transaksi. Ini adalah satu-satunya cara praktis untuk melacak
transaksi tertentu melalui database ribuan atau bahkan jutaan catatan. Dalam
sistem yang menggunakan dokumen sumber fisik, nomor unik yang tercetak pada
dokumen dapat ditranskripsikan selama input data dan digunakan untuk tujuan ini.
Dalam sistem real-time, yang tidak menggunakan dokumen sumber, sistem harus
menetapkan setiap transaksi nomor unik.
Daftar Kesalahan
3. Kontrol Output
Kontrol output memastikan bahwa output sistem tidak hilang, salah arah, atau
rusak dan privasi itu tidak dilanggar. Eksposur semacam ini dapat menyebabkan
gangguan serius pada operasi dan dapat mengakibatkan kerugian finansial bagi
perusahaan. Misalnya, jika cek yang dihasilkan oleh sistem pencairan uang tunai
perusahaan hilang, salah arah, atau dihancurkan, rekening perdagangan dan
tagihan lainnya mungkin tidak terbayarkan. Ini dapat merusak peringkat kredit
perusahaan dan mengakibatkan diskon, bunga, atau denda penalti yang hilang.
Jika privasi jenis output tertentu dilanggar, perusahaan dapat memiliki tujuan
bisnisnya disalahgunakan, atau bahkan dapat diekspos secara hukum. Contoh-
contoh eksposur privasi termasuk pengungkapan rahasia dagang, paten yang
tertunda, hasil riset pemasaran, dan rekam medis pasien.
Sistem batch biasanya menghasilkan output dalam bentuk hard copy, yang
biasanya membutuhkan keterlibatan perantara dalam produksi dan distribusinya.
Output dikeluarkan dari printer oleh operator komputer, dipisahkan menjadi
lembaran dan dipisahkan dari laporan lain, ditinjau untuk kebenaran oleh petugas
kontrol data, dan kemudian dikirim melalui surat antar kantor kepada pengguna
akhir. Setiap tahap dalam proses ini adalah titik paparan potensial di mana output
dapat ditinjau, dicuri, disalin, atau salah arah. Eksposur tambahan terjadi ketika
memproses atau mencetak salah dan menghasilkan output yang tidak dapat
diterima oleh pengguna akhir. Laporan-laporan yang rusak atau sebagian rusak ini
sering dibuang ke tempat sampah. Penjahat komputer telah berhasil
menggunakan limbah tersebut untuk mencapai tujuan terlarang mereka.
Setelah itu, kami memeriksa teknik untuk mengontrol setiap fase dalam proses
output. Perlu diingat bahwa tidak semua teknik ini akan selalu berlaku untuk setiap
item yang dihasilkan oleh sistem. Seperti biasa, kontrol digunakan berdasarkan
biaya-manfaat yang ditentukan oleh sensitivitas data dalam laporan.
Keluaran Spooling
Dalam operasi pemrosesan data skala besar, perangkat output seperti printer
garis dapat menjadi buntu dengan banyak program sekaligus menuntut sumber
daya yang terbatas ini. Backlog ini dapat menyebabkan kemacetan, yang
berdampak buruk pada throughput sistem. Aplikasi yang menunggu untuk
mencetak output menempati memori komputer dan memblokir aplikasi lain agar
tidak memasuki aliran pemrosesan. Untuk meringankan beban ini, aplikasi sering
dirancang untuk mengarahkan output mereka ke file disk magnetik daripada ke
printer secara langsung. Ini disebut spooling output. Kemudian, ketika sumber
daya printer tersedia, file output dicetak.
Akses file output dan ubah nilai data penting (seperti jumlah dolar pada cek).
Program printer kemudian akan mencetak output yang rusak seolah-olah
diproduksi oleh output yang dijalankan. Dengan menggunakan teknik ini,
seorang penjahat dapat secara efektif melampiaskan kontrol pemrosesan yang
dirancang ke dalam aplikasi.
Akses file dan ubah jumlah salinan output yang akan dicetak.Salinan tambahan
kemudian dapat dihapus tanpa pemberitahuan selama tahap pencetakan.
Auditor harus menyadari eksposur potensial ini dan memastikan bahwa akses
yang tepat dan prosedur cadangan tersedia untuk melindungi file output.
Program Cetak
Saat printer tersedia, program cetak lari akan menghasilkan output hard copy
dari file output. Program cetak seringkali merupakan sistem rumit yang
memerlukan intervensi operator. Empat jenis tindakan operator umum adalah
sebagai berikut:
1. Menjeda program cetak untuk memuat jenis dokumen output yang benar
(periksa stok, faktur, atau formulir khusus lainnya).
Untuk mencegah operator melihat output yang sensitif, kertas multipartai khusus
dapat digunakan, dengan salinan berwarna hitam untuk mencegah pencetakan
dibaca. Jenis produk ini, yang diilustrasikan pada Gambar 7.l3, sering digunakan
untuk mencetak cek pembayaran gaji. Penerima cek memisahkan salinan atas dari
badan pemeriksaan, yang berisi perincian yang dapat dibaca. Kontrol privasi
alternatif adalah mengarahkan output ke printer jarak jauh khusus yang dapat
diawasi dengan ketat.
Ledakan
Ketika laporan output dihapus dari printer, mereka pergi ke tahap burst untuk
memisahkan halaman dan menyusunnya. Kekhawatiran di sini adalah bahwa
petugas yang meledak dapat membuat salinan laporan yang tidak sah, menghapus
halaman dari laporan, atau membaca informasi sensitif. Kontrol utama terhadap
eksposur ini adalah pengawasan. Untuk laporan yang sangat sensitif, peleburan
dapat dilakukan oleh pengguna akhir.
Limbah
Kontrol Data
Distribusi Laporan
Risiko utama yang terkait dengan distribusi laporan termasuk laporan hilang,
dicuri, atau salah arah saat transit kepada pengguna. Sejumlah kontrol mea sures
dapat meminimalkan eksposur ini. Misalnya, ketika laporan dibuat, nama dan
alamat pengguna harus dicetak pada laporan. Untuk laporan multikopi, file alamat
pengguna yang sah harus dikonsultasikan untuk mengidentifikasi setiap penerima
laporan. Mempertahankan kontrol akses yang memadai atas file ini menjadi sangat
penting. Jika individu yang tidak sah dapat menambahkan namanya ke daftar
pengguna yang sah, ia akan menerima salinan laporan. Untuk laporan yang sangat
sensitif, teknik distribusi berikut dapat digunakan:
Laporan dapat ditempatkan dalam kotak pesan aman yang hanya dimiliki oleh
pengguna.
Setelah berada di tangan pengguna, laporan output harus ditinjau ulang untuk
setiap kesalahan yang mungkin telah menghindari tinjauan panitera kontrol data.
Pengguna berada dalam posisi yang jauh lebih baik untuk mengidentifikasi
kesalahan halus dalam laporan yang tidak diungkapkan oleh ketidakseimbangan
total kontrol. Kesalahan yang dideteksi oleh pengguna harus dilaporkan ke
manajemen layanan komputer yang sesuai. Kesalahan tersebut mungkin
merupakan gejala dari desain sistem yang tidak benar, prosedur yang salah,
kesalahan yang dimasukkan secara tidak sengaja selama pemeliharaan sistem,
atau akses tidak sah ke file data atau program.
Setelah laporan telah memenuhi tujuannya, itu harus disimpan di lokasi yang
aman sampai periode retensinya telah berakhir. Faktor-faktor yang mempengaruhi
lamanya waktu laporan hard copy dipertahankan meliputi:
Jumlah salinan laporan yang ada. Ketika ada banyak salinan, beberapa di
antaranya mungkin ditandai untuk penyimpanan permanen, sementara sisanya
dapat dihancurkan setelah digunakan.
Adanya gambar-gambar magnetik atau optik dari laporan yang dapat bertindak
sebagai cadangan permanen.
1. Pendekatan Black-Box
2. Pendekatan White-Box
Tes akurasi, yang memastikan bahwa sistem hanya memproses nilai data yang
sesuai dengan toleransi yang ditentukan. Contohnya termasuk tes jangkauan,
uji lapangan, dan uji batas.
Uji kelengkapan, yang mengidentifikasi data yang hilang dalam satu rekaman
dan seluruh catatan yang hilang dari kumpulan. Jenis-jenis tes yang dilakukan
adalah tes lapangan, tes urutan rekaman, total hash, dan total kontrol.
Tes akses, yang memastikan bahwa aplikasi mencegah pengguna yang sah dari
akses yang tidak sah ke data. Kontrol akses mencakup kata sandi, tabel
otoritas, prosedur yang ditentukan pengguna, enkripsi data, dan kontrol
inferensi.
Tes jejak audit, yang memastikan bahwa aplikasi menciptakan jejak audit yang
memadai. Ini termasuk bukti bahwa aplikasi mencatat semua transaksi dalam
log transaksi, mengeposkan nilai data ke akun yang sesuai, menghasilkan daftar
transaksi lengkap, dan menghasilkan file kesalahan dan laporan untuk semua
pengecualian.
Jejak audit sistem operasi dan perangkat lunak audit dapat mendeteksi aktivitas
file yang berlebihan. Dalam kasus penipuan salami, akan ada ribuan entri ke akun
pribadi kriminal inal komputer yang dapat dideteksi dengan cara ini. Seorang
programmer yang pandai dapat menyamarkan aktivitas ini dengan menyalurkan
entri-entri ini melalui beberapa akun sementara menengah, yang kemudian
diposting ke sejumlah kecil akun perantara dan akhirnya ke akun pribadi
pemrogram. Dengan menggunakan banyak level akun dengan cara ini, aktivitas ke
akun mana pun berkurang dan mungkin tidak terdeteksi oleh perangkat lunak audit.
Akan ada jejak, tetapi bisa rumit. Auditor yang ahli juga dapat menggunakan
perangkat lunak audit untuk mendeteksi keberadaan akun perantara yang tidak sah
yang digunakan dalam penipuan semacam itu.
C. ALAT AUDIT DAN TEKNIK AUDIT YANG DIBUTUHKAN UNTUK
PENGENDALIAN PENGUJIAN
Saat membuat data uji, auditor harus menyiapkan satu set lengkap dari
transaksi yang valid dan tidak valid. Jika data uji tidak lengkap, auditor mungkin
gagal untuk memeriksa cabang kritis logika aplikasi dan rutinitas pengecekan
kesalahan. Uji transaksi harus menguji setiap kesalahan input yang mungkin,
proses logis, dan ketidakteraturan.
Ada beberapa varian dari teknik data uji. Ketika rangkaian data uji yang
digunakan bersifat komprehensif, teknik ini disebut evaluasi sistem base case
(BeSE). Tes BCSE dilakukan dengan serangkaian transaksi pengujian yang berisi
semua jenis transaksi yang mungkin. Ini diproses melalui iterasi berulang selama
tes pengembangan sistem hingga hasil yang konsisten dan valid diperoleh. Hasil
ini adalah kasus dasar. Ketika perubahan berikutnya pada aplikasi terjadi selama
pemeliharaan, efeknya dievaluasi dengan membandingkan hasil saat ini dengan
hasil kasus dasar.
c) Tracing
Tipe lain dari teknik data uji yang disebut penelusuran melakukan perjalanan
elektronik melalui logika internal aplikasi. Prosedur pelacakan melibatkan tiga
langkah:
3. Transaksi data uji dilacak melalui semua tahapan pemrosesan program, dan
daftar dihasilkan dari semua instruksi terprogram yang dilaksanakan selama
pengujian.
Ada tiga keunggulan utama teknik data uji. Pertama, mereka menggunakan
melalui pengujian komputer, sehingga menyediakan auditor dengan bukti eksplisit
mengenai fungsi aplikasi. Kedua, jika direncanakan dengan benar, uji coba data
dapat digunakan hanya dengan gangguan minimal terhadap operasi organisasi.
Ketiga, mereka hanya membutuhkan keahlian komputer minimal di pihak auditor.
e) Kekurangan Teknik Uji Data
Kerugian utama dari semua teknik data uji adalah bahwa auditor harus
bergantung pada personel layanan komputer untuk mendapatkan salinan aplikasi
untuk tujuan pengujian. Ini memerlukan risiko bahwa layanan komputer dapat
secara sengaja atau tidak sengaja memberikan versi aplikasi yang salah kepada
auditor dan dapat mengurangi keandalan bukti audit. Secara umum, bukti audit
yang dikumpulkan oleh sarana independen lebih dapat diandalkan daripada bukti
yang diberikan oleh klien.
Kelemahan kedua dari teknik ini adalah bahwa mereka memberikan gambaran
statis tentang integritas aplikasi pada satu titik waktu. Mereka tidak menyediakan
sarana yang nyaman untuk mengumpulkan bukti tentang fungsionalitas aplikasi
yang sedang berlangsung. Tidak ada bukti bahwa aplikasi yang diuji hari ini
berfungsi seperti yang dilakukan selama tahun yang diuji.
Kerugian ketiga dari teknik data uji adalah biaya pelaksanaannya yang relatif
tinggi, yang menghasilkan inefisiensi audit. Auditor dapat mencurahkan banyak
waktu untuk memahami logika program dan membuat data uji. Pada bagian
berikutnya, kita melihat bagaimana teknik pengujian otomatis dapat menyelesaikan
masalah ini.
Modul audit ITF dirancang untuk membedakan antara transaksi IIF dan data
produksi rou tine. Ini dapat dilakukan dengan berbagai cara. Salah satu hal yang
paling penting dan paling sering digunakan adalah menetapkan kisaran unik nilai-
nilai kunci secara eksklusif untuk transaksi ITF. Misalnya, dalam sistem
pemrosesan pesanan penjualan, nomor rekening adalah dua belas tahun 2000 dan
2100 dapat dipesan untuk transaksi IIF dan tidak akan ditetapkan ke akun
pelanggan yang sebenarnya. Dengan memisahkan transaksi IIF dari transaksi
yang sah dengan cara ini, laporan rutin yang dihasilkan oleh aplikasi tidak rusak
oleh data uji ITF. Hasil pengujian diproduksi secara terpisah pada media
penyimpanan atau hasil cetak hard disk dan disumbangkan langsung kepada
auditor. Sama halnya dengan teknik data uji, auditor menganalisis hasil ITF
terhadap hasil yang diharapkan.
Teknik ITF memiliki dua keunggulan dibandingkan teknik data uji. Pertama, ITF
mendukung pemantauan pemantauan yang dilakukan sebagaimana diperlukan
oleh SAS 78. Kedua, aplikasi dengan IIF dapat diuji secara ekonomis tanpa
mengganggu operasi pengguna dan tanpa campur tangan antar personel layanan
komputer. Dengan demikian, ITF meningkatkan efisiensi audit dan meningkatkan
keandalan bukti audit yang dikumpulkan.
Kekurangan lTF
Kerugian utama dari IIF adalah potensi untuk merusak file data organisasi
dengan data uji. Langkah-langkah harus diambil untuk memastikan bahwa
transaksi pengujian ITF tidak mempengaruhi secara material laporan keuangan
dengan secara tidak benar digabungkan dengan transaksi yang sah. Masalah ini
diperbaiki dalam dua cara: (1) entri penyesuaian dapat dianggap menghapus efek
ITF dari saldo akun buku besar atau (2) file data dapat dipindai oleh perangkat
lunak khusus yang menghapus transaksi ITF.
3. Simulasi Paralel
Program simulasi dapat ditulis dalam bahasa pemrograman apa pun. Namun,
karena sifat satu-kali dari tugas ini, itu adalah kandidat untuk pembuat gen bahasa
generasi keempat. Langkah-langkah yang terlibat dalam melakukan pengujian
simulasi paralel diuraikan di sini.
KESIMPULAN
Hal ini membahas masalah-masalah yang terkait dengan penggunaan alat dan
teknik audit yang dibantu komputer (CAATTs) untuk melakukan tes pengendalian
aplikasi dan ekstraksi data. Bab ini dimulai dengan menjelaskan tiga kelas besar dari
kontrol aplikasi: kontrol input, kontrol pemrosesan, dan kontrol output. Kontrol input,
yang mengatur pengumpulan dan penyisipan data ke dalam sistem, berusaha
memastikan bahwa semua transaksi data valid, akurat, dan lengkap. Kontrol
pemrosesan berusaha menjaga integritas catatan individu dan kumpulan rekaman
dalam sistem dan harus memastikan bahwa jejak audit yang memadai dipertahankan.
Tujuan dari kontrol output adalah untuk memastikan bahwa informasi yang
dihasilkan oleh sistem tidak hilang, salah arah, atau tunduk pada pelanggaran privasi.
Selanjutnya, kotak hitam dan kotak putih mendekati untuk menguji kontrol aplikasi
telah ditinjau. Teknik kotak hitam melibatkan audit di sekitar komputer. Pendekatan
kotak putih membutuhkan pemahaman rinci tentang logika aplikasi. Lima jenis CAATT
yang umumnya digunakan untuk menguji logika aplikasi kemudian diperiksa: metode
data uji, evaluasi sistem base case, penelusuran, fasilitas uji terintegrasi, dan simulasi
paralel.
REFERENSI